Od 1 stycznia 2019 r. pracodawcy mogą zdecydować o formie prowadzenie i przechowywania dokumentacji pracowniczej. Tym samym przedsiębiorcy mogą także prowadzić dokumentację pracowniczą w wersji elektronicznej, mimo, iż wcześniej mieli wersję papierową.
Bez wątpienia jest to duże ułatwienie, natomiast z drugiej strony wiąże się z szeregiem obowiązków. Podobnie jak przy dokumentacji papierowej, nie można zapominać o obowiązkach wynikających z przepisów Rozporządzenia RODO.
Tradycyjna dokumentacja zapewniała prostsze sposoby zabezpieczania wrażliwych danych – wystarczyło trzymać materiały w dobrze zamkniętym i chronionym miejscu. W przestrzeni cyfrowej ochrona danych osobowych pracownika jest dużo bardziej wymagająca, choć ze względu na łatwość przetwarzania ten sposób to współczesny standard, od którego nie ma już odwrotu. Dlatego dane osobowe w Internecie należy zamieszczać i przechowywać z pełną świadomością istnienia zabezpieczeń, chroniących pracowników przed ujawnieniem newralgicznych informacji.
Przetwarzając dane osobowe w systemie teleinformatycznym należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić poufność, integralność oraz dostępność danych.
Rozporządzenie w sprawie dokumentacji pracowniczej w § 10 w Rozdziale 3 – Szczególne wymagania dotyczące prowadzenia i przechowywania dokumentacji w postaci elektronicznej, wskazuje następujące warunki, jaki należy spełnić łącznie i w sposób ciągły, aby zabezpieczyć dane osobowe pracowników:
- jest zapewniona jej dostępność wyłącznie osobom upoważnionym;
- jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem;
- jej prowadzenie i przechowywanie odbywają się z zastosowaniem metod i środków ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.
Jak zabezpieczyć dane osobowe pracowników w wersji elektronicznej?
Zabezpieczenie dokumentacji pracowniczej prowadzonej i przechowywanej w postaci elektronicznej wymaga określonych działań jak m.in.
- systematyczne przeprowadzanie analiz zagrożeń
- opracowaniu i stosowaniu procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu, tworzenia kopii zapasowych oraz przechowywania;
- stosowaniu środków bezpieczeństwa adekwatnych do zagrożeń;
- bieżącym kontrolowaniu funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowym dokonywaniu oceny skuteczności tych sposobów;
- przygotowaniu i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji.
Wdrażając wersję elektroniczną dokumentacji pracowniczej należy także pamiętać o obowiązkach jakie spoczywają na Administratorze danych osobowych w związku z Rozporządzeniem RODO jak m.in.
- wdrożenie odpowiednich środków technicznych i organizacyjnych;
- spełnienie obowiązku informacyjnego;
- zawarcie umowy powierzenia przetwarzania danych osobowych;
- nadanie upoważnień pracownikom;
- realizacji praw osób, których dane dotyczą np. dostęp do danych, prawo do sprostowania danych.
Obowiązki wobec pracownika przy zmianie sposobu prowadzenia dokumentacji
Pracodawcy mają obowiązek poinformowania pracownika oraz byłych pracowników o:
- zmianie formy prowadzenia dokumentacji pracowniczej;
- możliwości odebrania poprzedniej postaci dokumentów w terminie 30 dni od dnia przekazania informacji o zmianie postaci prowadzenia i przechowywania dokumentacji pracowniczej.
Dodatkowe informacje:
- Na stronie ZUS znajdują się filmy instruktażowe dotyczące E-akta – link
- Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 10 grudnia 2018 r. w sprawie dokumentacji pracowniczej – link
- Ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (Dział IV – Rozdział I obowiązki pracodawcy)
- Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)